Tarcza Prywatności działa już od roku – czy będzie działać nadal?
Wkrótce upłynie pierwszy rok funkcjonowania programu Tarcza Prywatności (Privacy Shield). Na wrzesień 2017 roku zaplanowano przegląd programu. Ma on służyć surowej weryfikacji, czy program spełnia pokładane w nim nadzieje i skutecznie zapewnia należytą ochronę danych osobowych przekazywanych do zarejestrowanych w programie amerykańskich odbiorców tych danych. Przegląd powinien także przesądzić o kierunkach rozwoju programu, a także zidentyfikować obszary wymagające poprawy.
Przypomnijmy, że 12 lipca 2016 r. Komisja Europejska przyjęła decyzję potwierdzającą, że podmioty działające na terenie Stanów Zjednoczonych, które spełnią warunki określone w programie Privacy Shield, będą uważane za zapewniające należyty poziom ochrony danych osobowych. Oznacza to, że przekazywanie danych osobowych do takich podmiotów jest możliwe bez konieczności jednoczesnego stosowania innych mechanizmów służących zapewnieniu należytej ochrony, takich jak modelowe klauzule umowne czy też wiążące reguły korporacyjne (o programie pisaliśmy już na naszym portalu).
Program Tarcza Prywatności (EU – U.S. Privacy Shield Framework) został opracowany przez Departament Handlu Stanów Zjednoczonych (Department of Commerce, DOC) i zastąpił program Safe Harbour. Do dziś w programie zarejestrowało się ponad 2 000 podmiotów. Według dostępnych informacji wszystkie skargi dotyczące naruszenia ochrony danych osobowych przez uczestników programu zostały pomyślnie załatwione w toku postępowań wewnętrznych przeprowadzonych przez tych uczestników.
Przeglądu programu dokonać mają wspólnie DOC i Komisja Europejska, z udziałem Komisji Handlu (Federal Trade Commission), regulatorów ochrony danych osobowych, przedstawicieli Grupy Roboczej artykułu 29 oraz innych organów i organizacji zaangażowanych w funkcjonowanie Privacy Shield. Organizatorzy niewątpliwie wezmą także pod uwagę opinie, które w ciągu ostatniego roku wyrażali na temat programu europejscy ustawodawcy, organizacje pozarządowe i przedstawiciele biznesu. Trudno obecnie przewidzieć wynik przeglądu, niemniej jednak niżej przytoczone fakty pozwalają sądzić, że program będzie kontynuowany i ulepszany.
Po pierwsze, unieważnienie programu wymagałoby anulowania decyzji Komisji z 12 lipca 2016 r. Mogło to nastąpić w wyniku zaskarżenia decyzji do Trybunału Sprawiedliwości UE w terminie dwóch miesięcy od daty jej publikacji w dzienniku urzędowym. Żadna z instytucji UE ani też żadne państwo członkowskie UE decyzji nie zaskarżyło.
Po drugie, pomimo wyrażanych obaw, że administracja Donalda Trumpa przykładać będzie mniejszą wagę do rzetelnego egzekwowania Privacy Shield przygotowanego i opracowanego przez administrację Baracka Obamy, nie nastąpiły zmiany prawa ani praktyki, które wskazywałaby na taki kierunek. Ponadto NSA (National Security Agency) wydała oświadczenie o zaprzestaniu określonych działań o charakterze inwigilacyjnym prowadzonych poza granicami USA, na podstawie FISA (Foreign Intelligence Surveillance Act).
Pomimo że program koncentruje się na przekazywaniu danych przez podmioty prywatne, to właśnie potencjalny dostęp służb bezpieczeństwa USA do przekazanych z Europy danych jest główną troską strony europejskiej. Wprawdzie w toku opracowywania Privacy Shield wzięto pod uwagę amerykańskie przepisy ograniczające dostęp służb do danych osobowych, a nadto utworzono stanowisko rzecznika programu, Privacy Shield Ombudsperson, do którego obywatele europejscy mogą kierować zapytania i skargi dotyczące dostępu służb do ich danych osobowych, to jednak europejska presja na zwiększenie gwarancji ochrony nie zmalała. Uważa się, że to właśnie warunki dostępu służb USA do danych osobowych z Europy będą kluczowymi dla ewaluacji i ewolucji programu.
Sylwia Paszek, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy
